Cibercriminosos estão explorando uma vulnerabilidade crítica no Apache ActiveMQ para obter acesso persistente a sistemas Linux em ambientes de nuvem e implantar um novo malware chamado DripDropper. O mais curioso é que, após invadir os sistemas, os atacantes aplicam o próprio patch na falha usada, impedindo que outros grupos se aproveitem dela e dificultando a detecção.
A brecha explorada é a CVE-2023-46604, uma falha de execução remota de código com pontuação máxima no CVSS (10.0), corrigida em outubro de 2023. Desde então, diversos grupos já utilizaram o problema para implantar diferentes tipos de malware, incluindo ransomware HelloKitty, rootkits para Linux, o botnet GoTitan e até o web shell Godzilla. No caso mais recente, os invasores modificaram configurações do sshd para permitir login como root e então liberaram o DripDropper, um downloader até então desconhecido.
Esse malware exige uma senha para ser executado, dificultando sua análise, e se comunica com contas no Dropbox, explorando o uso de serviços legítimos para se disfarçar em meio ao tráfego normal da rede. O DripDropper baixa dois arquivos adicionais: o primeiro permite diferentes ações nos sistemas infectados, como monitoramento de processos e contato constante com o Dropbox para receber novas instruções. O segundo arquivo também se conecta ao Dropbox, mas é voltado à manipulação de configurações do SSH, servindo como um mecanismo de backup para garantir o acesso dos invasores mesmo que as alterações iniciais sejam revertidas. Especialistas destacam que esse cenário reforça a importância da aplicação rápida de patches, da limitação de acesso a serviços internos via VPNs ou listas de IP confiáveis, e do monitoramento constante de registros em ambientes de nuvem para detectar comportamentos anômalos.
